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(57) L'invention concerne un systeme de communication, 
dtT type comprenant notamment une pluralite d'equipe- 
ments terminaux (1) constitues chacun d'un terminal (4) 
cooperant avec une carte utilisateur a microprocesseur 
(SIM; 5). Chaque carte utilisateur inclut des moyens (8) de 
memorisation de donnees comprenant une pluralite d'ob- 
jets et servant de support a au moins deux applications dis- 
tinctes, la carte utilisateur comprenant des moyens (6 7) 
d'execution de commandes appartenant aux applications. 
Chaque objet compris dans les moyens de memorisation 
de donnees d'une carte utilisateur est associe a une pre- 
miere politique de controle d'acces definie par un jeu de 
premieres conditions d'acces. 

Selon l'invention, chaque objet est egalement associe a 
au moins une autre politique de controle d'acces definie 
par un jeu d'au moins une condition d'acces alternative. 
Chaque condition d'acces alternative s'appiique, pour ledit 
objet, a un groupe d'au moins une commande appartenant 
a la ou aux applications utilisant ladite autre politique de 
controle d'acces donnee. Chaque objet est egalement as- 
socie a une pluralite d'indicateurs de politique de controle 
d'acces indiquant chacun, pour une des applications, 
quelle politique de controle d'acces utiliser avec cette appii - 



cation, les indicateurs de politique de controle d'acces 
etant stockes dans les moyens (8) de memorisation de 
donnees. 
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Systeme de communication permettant une gestion securisee et 
independante d'une pluralite d'applications par chaque carte utilisateur, 
carte utilisateur et procede de gestion correspondants. 

Le domaine de Finvention est celui des systemes de communication avec des 
equipements terminaux constitues chacun d'un terminal cooptrant avec une carte 
utilisateur a microprocesseur. 

L'invention s'applique notamment, mais non exclusivement, dans le cas d'un 
systeme de radiocommunication cellulaire avec des stations mobiles constitutes chacune 
d'un terminal cooperant avec une carte utilisateur appelee module d' identification 
d'abonne (ou module SIM, pour "Subscriber Identity Module" en langue anglaise). 

L'invention s'applique Sgalement, & nouveau non exclusivement, dans le cas d'un 
systeme de communication avec des stations de paiement constitutes chacune d'un 
terminal bancaire cooperant avec une carte de paiement. 

Plus precisement, l'invention concerne un systeme de communication permettant 
une gestion securisee et independante d'une plurality d'applications par chaque carte 
utilisateur. L'invention concerne egalement une carte utilisateur et un proctdt de gestion 
correspondants. 

Les inconvenients des systemes de communication connus sont prtsentts ci- 
dessous a travers l'exemple d'un systeme de radiocommunication cellulaire. II est clair 
cependant que l'invention n'est pas limitee a ce type de systeme, mais concerne plus 
generalement tout systeme de communication dans lequel une carte utilisateur, destinte h. 
cooperer avec un terminal, supporte plusieurs applications. 

Dans le domaine de la radiocommunication cellulaire, on connaJt notamment, 
principalement en Europe, le standard GSM ("Groupe special Systemes Mobiles publics 
de radiocommunication fonctionnant dans la bande des 900 Mhz"). 

L'invention s'applique notamment, mais non exclusivement, & un systeme selon 
ce standard GSM. Plus generalement, elle peut s'appliquer & tous les systemes dans 
lesquels chaque carte utilisateur peut gerer au moins deux applications distinctes. 

Dans le cas d'un systeme de radiocommunication cellulaire, un terminal est un 
equipement physique utilise par un usager du reseau pour acctder aux services de 
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telecommunication offerts. II existe differents types de terminaux, tels que notamment les 
portatifs, les portables ou encore les mobiles montes sur des vehicules. 

Quand un terminal est utilise par un usager, ce dernier doit connecter au terminal 
sa carte utilisateur (module SIM), qui se presente generalement sous la forme d'une carte 
a puce. 

La carte utilisateur supporte une application principale telephonique (par exemple 
l'application GSM) qui permet son fonctionnement, ainsi que celui du terminal auquel elle 
est connectee, dans le systeme de radiocommunication cellulaire. Notamment, la carte 
utilisateur procure au terminal auquel elle est connects un identifiant unique d'abonnS 
(ou identifiant IMSI, pour "International Mobile Subscriber Identity" en langue anglaise). 
Pour cela, la carte utilisateur inclut des moyens d'execution de commandes (par exemple, 
un microprocesseur et une memoire programme) et des moyens de memorisation de 
donnees (par exemple une memoire de donnees). 

L'identifiant IMSI, ainsi que toutes les informations individuelles concernant 
l'abonne et destinees a etre utilisees par le terminal, sont stockees dans les moyens de 
memorisation de donnees du module SIM. Ceci permet a chaque terminal d'etre utilise 
avec n'importe quel module SIM 

Dans certains systemes connus, et notamment dans un systeme GSM, il existe un 
service de messages courts (ou SMS, pour "Short Message Service" en langue anglaise) 
permettant T envoi de messages courts vers les stations mobiles. Ces messages sont 6mis 
par un centre de service de messages courts (ou SMS-C, pour "SMS Center" en langue 
anglaise). 

Lorsqu'une station mobile re^oit un message court, elle le stocke dans les moyens 
de memorisation de donnees de son module SIM. L'application principale tel6phonique 
de chaque module SIM de traiter chaque message court re9U. 

A Forigine, l'unique fonction d'un message court etait de fournir une information 
a Tabonne, generalement via un ecran d'affichage du terminal. Les messages courts, dits 
messages courts normaux, qui remplissent cette unique fonction ne contiennent done que 
des donnees brutes. 

Par la suite, on a imagine un service de messages courts amelior£ (ou ESMS, 
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pour "Enhanced SMS" en langue anglaise), dans lequel deux types de messages courts 
peuvent etre envoyes, & savoir les messages courts normaux precit^s et des messages 
courts ameliores pouvant contenir des commandes. 

Ainsi, dans le document de brevet EP 562 890 par exemple, il est propose de 
transmettre a un module SIM, via des messages courts ameliores, des commandes 
permettant de mettre a jour ou de reconfigurer ce module SIM & distance. En d* autres 
termes, des commandes encapsulees dans des messages courts am£lior£s permettent de 
modifier T application principale telephonique du module SIM. 

On a egalement propose que le module SIM serve de support k d' autres 
applications que Tapplication principale telephonique, telles que notamment des 
applications de location de voiture, de paiement ou encore de fidelity. 

Du fait que les commandes appartenant a ces autres applications sont contenues 
dans des messages courts ameliores, et done externes au module SIM, ces autres 
applications sont dites distantes ou OTA (pour "Over The Air" en langue anglaise). Par 
opposition, Tapplication principale telephonique, dont les commandes sont contenues 
dans les moyens de memorisation de donnees du module SIM, est dite locale. Les 
commandes sont egalement dites locales ou distantes, selon que Tapplication k laquelle 
elles appartiennent est elle-meme locale ou distante. 

Le document de brevet PCT/GB/9401295 decrit par exemple un module SIM 
supportant les applications distantes suivantes : mise k jour de numeros de telephones h 
distance, location (de voiture ou d'hotel notamment) et paiement. Chaque message 
comprend une commande suivie de donnees. A titre d' exemple, les quatre types de 
commandes distantes suivants (parmi 255 possibles) sont presentes : 

les commandes d'ecriture, permettant de stocker dans le module SIM, h partir 
d'un emplacement memoire specifie, des donnees contenues dans les messages 
regus ; 

les commandes de lecture, permettant de lire des donnees dans le module SIM, h 
partir d'un emplacement memoire specifie, les donnees lues etant plac6es dans des 
messages a destination des appelants exterieurs ; 

les commandes de verrouillage/deverrouillage, permettant d'autoriser ou interdire 
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Fecriture et la lecture d'emplacements memoires specifies du module SIM ; 

les commandes d'execution de programme, permettant d'exdcuter un programme 

stocke dans le module SIM. 

Avec ces commandes distantes, on peut done executer des applications distantes 
(location, paiement, reconfiguration de 1' application principale telephonique, ...). On peut 
egalement ajouter de nouvelles fonctionnalites au module SIM. Ainsi, le module SIM 
peut devenir une carte multiservice, avec par exemple les fonctionnalites d'une carte de 
credit, d'un passeport, d'un permis de conduire, d'une carte de membre, etc. 

II est clair que ce recent concept de multi-application du module SIM est trfcs 
avantageux pour Tabonne. En effet, ce dernier peut maintenant effectuer de fa$on trfes 
simple, uniquement avec un terminal dans lequel est insert son module SIM, de 
nombreuses operations telles que par exemple la location d'une voiture ou le paiement 
d'un service. 

En revanche, ce recent concept de multi-application du module SIM, tel qu'il est 
mis en oeuvre actuellement, presente 1' inconvenient majeur de ne pas assurer la gestion 
independante de chacune des applications, locale ou distante. En effet, dans tous les 
systemes connus a ce jour, les fichiers des moyens de memorisation de donn£es du 
module SIM sont accessibles de la meme fa?on par toutes les applications. 

Ainsi, dans le document de brevet PCT/GB/9401295 prdcite, 1'acces h. certains 
emplacements memoires par une commande est toujours autorise, tandis que Taccfes h 
d'autres emplacements memoires par une commande peut etre soit autorise soit refusd. 
Mais, quel que soit Femplacement memoire concerne, T accessibility par une commande 
ne depend en aucune fagon de V application a laquelle appartient cette commande. 

De meme, dans les specifications GSM actuelles (et notamment la specification 
GSM 11.11), aucune difference n'est faite entre les applications pour ce qui est des 
conditions d'acces aux fichiers des moyens de memorisation de donnees du module SIM. 
En effet, chaque fichier possede sa propre politique de controle d'acc£s standard, qui est 
unique et definie par un jeu de conditions d'acces standard, chacune de ces conditions 
d'acces standard s'appliquant a une commande distincte pour ce fichier. Chaque 
condition d'acces standard peut prendre differentes valeurs, telles que par exemple 
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"ALWAYS" (acces toujours autorise), "CHV1" ou "CHV2" (accds autoris<5 aprfcs 
verification du possesseur du module SIM) et "NEVER" (accfes jamais autoris6). Mais 
aucune de ces valeurs ne vise a lier Faeces au fichier a Fidentite de l'application k laquelle 
appartient la commande qui demande cet acces. 

Cette absence de controle de Faeces aux fichiers en fonction des applications n'est 
pas satisfaisante du point de vue securite. En effet, ceci signifie que toutes les 
applications distantes supportees par les moyens de memorisation de donnees d'un meme 
module SIM peuvent acceder a Fensemble des fichiers de ces moyens de memorisation de 
donnees. Rien n'empeche done les donnees concernant une de ces applications distantes 
d'etre lues ou meme modifiees par une autre de ces applications distantes. II ressort 
clairement de ce qui precede que chaque application distante ne dispose pas pour ses 
donnees propres stockees dans le module SIM d'une securite et d'une confidentiality 
suffisantes. 

L* invention a notamment pour objectif de pallier cet inconvenient majeur de F&at 
de la technique. 

Plus precisement, Tun des objectifs de la presente invention est de fournir un 
systeme de communication (et notamment, mais non exclusivement, un systdme de 
radiocommunication cellulaire) dans lequel chaque carte utilisateur peut g6rer de fa9on 
securisee et independante une pluralite d' applications. 

En d'autres termes, Tun des objectifs de Tinvention est de permettre h chaque 
fournisseur d'application d'eviter que d'autres applications que la sienne puissent acceder 
a au moins certains des objets (par exemple des fichiers) de la carte utilisateur qui 
supportent son application. 

Un autre objectif de 1'invention est de permettre la mise & jour (ou la 
reconfiguration) des objets de la carte utilisateur qui supportent les diff&rentes 
applications, tout en s'assurant que ces applications continuent k etre g£r£es de fagon 
securisee et independante. 

Un objectif complementaire de Finvention est de permettre la creation & distance 
d'une nouvelle application qui, comme les applications deja existantes, est supportee par 
des objets dont au moins certains auxquels elle est seule a pouvoir acc6der. 
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Ces differents objectifs, ainsi que d'autres qui apparaitront par la suite, sont 
atteints selon l'invention a 1'aide d'un systeme de communication, du type comprenant 
notamment une pluralite d'equipements terminaux constitues chacun d'un teraiinal 
cooperant avec une carte utilisateur a microprocesseur, 

chaque carte utilisateur incluant des moyens de memorisation de donn€es 
comprenant une pluralite d'objets, lesdits moyens de memorisation de donn£es servant de 
support a au moins deux applications distinctes, ladite carte utilisateur comprenant des 
moyens d' execution de commandes appartenant auxdites applications, 

chaque objet compris dans les moyens de memorisation de donn^es d'une carte 
utilisateur etant associe a une premiere politique de controle d'acces definie par un jeu de 
premieres conditions d'acces, chacune desdites premieres conditions d'accfes 
s'appliquant, pour ledit objet, a un groupe d'au moins une commande appartenant k la ou 
aux applications utilisant ladite premiere politique de controle d'acces, 

caracterise en ce que chaque objet est egalement associe k au moins une autre 
politique de controle d'acces, chaque autre politique de controle d'acc&s etant definie par 
un jeu d'au moins une condition d'acces alternative, chaque condition d'acces alternative 
d'une autre politique de controle d'acces donnee s'appliquant, pour ledit objet, k un 
groupe d'au moins une commande appartenant a la ou aux applications utilisant ladite 
autre politique de controle d'acces donnee, 

et en ce que chaque objet est egalement associe k une plurality d'indicateurs de 
politique de controle d'acces, chaque indicateur de politique de contrdle d'accfcs 
indiquant, pour une desdites applications, quelle politique de controle d'acc&s, k savoir 
premiere ou autre, utiliser avec cette application, lesdits indicateurs de politique de 
controle d'acces etant stockes dans lesdits moyens de memorisation de donnees. 

Le principe general de 1' invention consiste done k : 

associer a chaque objet (qui est par exemple un fichier), en plus de la 
premiere politique de controle d'acces (dite dans certains cas "standard"), 
une ou plusieurs autres politiques de controle d'acces ; et 
indiquer, pour chaque objet, la politique de controle d'acces (premiere ou 
autre) a utiliser avec chaque application. 
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Ainsi, l'acces a Tobjet (par une commande) peut ne pas etre identique pour toutes 
les applications. Chaque application voit Facets de ses differentes commandes k un objet 
definit par celles des politiques de controle d'acces qui lui est associee pour cet objet. 

Avantageusement, pour chaque objet, au moins une autre politique de controle 
d'acces est specifique a une des applications, chaque condition d'acces alternative de cette 
autre politique de controle d'acces specifique s'appliquant, pour ledit objet, a un groupe 
d'au moins une commande appartenant h l'unique application utilisant cette autre politique 
de controle d'acces specifique. 

De fa§on avantageuse, pour chaque objet, au moins une autre politique de 
controle d'acces est entierement commune a au moins deux applications, chaque 
condition d'acces alternative de cette autre politique de contr61e d'acces entierement 
commune s'appliquant, pour ledit objet, a un groupe d'au moins une commande 
appartenant auxdites au moins deux applications utilisant cette autre politique de contrdle 
d'acces entierement commune, 

Avantageusement, pour chaque objet, au moins une autre politique de contrdle 
d'acces est partiellement commune a au moins deux applications, 

certaines des conditions d'acces alternatives de cette autre politique de contrdle 
d'acces partiellement commune s'appliquant, pour ledit objet, & un groupe d'au moins 
une commande appartenant auxdites au moins deux applications utilisant cette autre 
politique de controle d'acces commune, 

d'autres des conditions d'acces alternatives de cette autre politique de controle 
d'acces partiellement commune s'appliquant, pour ledit objet, a un groupe d'au moins 
une commande appartenant uniquement a 1'une desdites au moins deux applications 
utilisant cette autre politique de controle d'acces commune. 

Ainsi, pour chaque objet, chaque application peut : 

soit avoir son propre jeu de conditions d'acces alternatives ; 

soit partager tout son jeu de conditions d' acces alternatives avec une ou 

plusieurs autres applications ; 

soit partager une partie seulement de son jeu de conditions d'acc&s 
alternatives avec une ou plusieurs autres applications. 
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Dans le cas le plus simple, chaque objet est associe d'une part k la premiere 
politique de controle d'acces et d* autre part a une unique autre politique de contrdle 
d'acces. Cette derniere est definie par une seule condition d'acc&s, s'appliquant de fa9on 
commune a toutes les commandes des applications qui l'utilisent. 

Dans le cas le plus complexe, chaque objet est associe d'une part h. la premiere 
politique de controle d'acces et d' autre part & autant d'autres politiques de contrdle 
d'acces distinctes qu'il existe d' applications. Chacune de ces autres politiques de contrdle 
d'acces est definie par une pluralite de conditions d'acc&s distinctes s'appliquant chacune 
a une seule ou plusieurs des commandes appartenant h. cette autre politique de contrdle 
d'acces. 

Dans un mode de realisation particulier du systeme de 1' invention, du type 
permettant une radiocommunication cellulaire, ladite pluralite d'equipements terminaux 
est une pluralite de stations mobiles, lesdites cartes utilisateur etant des modules 
d' identification d'abonne. 

Dans ce cas particulier d'un systeme de radiocommunication cellulaire, la plurality 
d'applications supportees par les moyens de memorisation de la carte utilisateur 
comprend par exemple V application principale telephonique (par exemple 1' application 
GSM) et : 

soit au moins une application distante (par exemple de location de voiture, 
de paiement ou encore de fidelite), dont les commandes sont fournies k 
partir de Texterieur aux moyens d'execution de commande de la carte 
utilisateur (par exemple via des messages courts ameliores) ; et 
soit au moins une autre application locale, dont les commandes sont 
fournies en interne aux moyens d'execution de commande de la carte 
utilisateur (par exemple a partir d'une memoire programme ROM de cette 
carte utilisateur). 

II est a noter que la premiere situation est plus frequente que la seconde, du fait 
qu'une carte utilisateur ne supporte generalement qu'une application locale, h savoir 
Tapplication principale telephonique. Cependant, la seconde situation peut 6galement etre 
envisagee. 
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Ainsi, selon Tinvention, dans le cas particulier d'un syst&me de 
radiocommunication cellulaire, chaque carte utilisateur peut gerer de fa?on s£curis6e et 
independante toutes ou certaines des applications qu'il supporte. 

Dans un mode de realisation avantageux de Finvention, ledit systeme etant du 
5 type comprenant en outre au moins un centre de service de messages, 

lesdits moyens de memorisation de donnees d'une carte utilisateur servant de 
support a au moins une application locale et au moins une application distante de ladite 
carte utilisateur, les commandes etant dites locales, lorsqu'elles appartiennent k ladite 
application locale, ou distantes, lorsqu'elles appartiennent k ladite application distante, 
1 0 chaque terminal pouvant recevoir des messages, de type normal ou am61ior£, &nis 

par ledit centre de service de messages, chaque carte utilisateur comprenant des moyens 
de stockage et de traitement des messages re?us par le terminal avec lequel elle coopfere, 

les messages normaux contenant des donnees brutes constituant une information 
destinee a etre fournie a Pabonne via notamment un ecran d'affichage du terminal, les 
15 messages ameliores contenant des commandes distantes, 

ledit systeme est caracterise en ce que lesdits moyens de memorisation de donnees 
de chaque carte utilisateur stockent egalement une liste d' applications distantes autorisees, 

et en ce que chaque carte utilisateur comprend egalement des moyens de 
discrimination des messages ameliores, permettant de bloquer chaque message am61ior6 
20 qui contient des commandes distantes n'appartenant pas a une desdites applications 

distantes autorisees. 

Ainsi, la carte utilisateur detecte si 1'application distante emettrice du message 
ameliore est autorisee a acceder a cette carte utilisateur. Cette operation de discrimination 
constitue un niveau de securite supplementaire pour Faeces des commandes & la m&noire 
25 de donnees de la carte utilisateur. 

Les messages normaux ou ameliores sont par exemple des messages courts, selon 

le vocabulaire GSM. 

De fa?on preferentielle, lesdits moyens de memorisation de donnees de chaque 
carte utilisateur stockent egalement, pour chacune desdites applications distantes 
30 autorisees, une reference secrete et un mode d'authentification de message assoctes, 
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et chaque carte utilisateur comprend egalement des moyens d'authentification des 
messages ameliores discrimines, permettant d'authentifier un message am61ior6 
discrimine en utilisant la reference secrete et le mode d'authentification de message 
associes, dans lesdits moyens de memorisation de donnees, a Fapplication distante 
autorisee a laquelle appartiennent les commandes contenues dans ledit message amelior6 
discrimine. 

En d'autres termes, la carte utilisateur authentifie chaque message ameliord 
discrimine selon le mode d'authentification et la reference secrete associ6s a Fapplication 
emettrice de ce message. Cette operation d'authentification constitue encore un autre 
niveau de securite supplemental pour Faeces des commandes a la m6moire de donndes 
de la carte utilisateur. 

Avantageusement, pour chaque objet, la ou au moins une des autres politiques de 
controle d'acces, dite seconde politique de controle d'acces, est definie par un jeu d'au 
moins une condition d'acces alternative particuliere, chaque condition d'acces alternative 
particuliere pouvant prendre notamment les valeurs suivantes : 

"aucun acces" : si ledit objet n'est accessible par aucune commande dudit 
groupe d'au moins une commande auquel s' applique ladite condition 
d'acces alternative particuliere ; 

"acces prive" : si ledit objet n'est accessible que par les commandes 
appartenant a une unique application predetermin^e, parmi ledit groupe 
d'au moins une commande auquel s' applique ladite condition d'acc&s 
alternative particuliere ; 

"acces partage" : si ledit objet est accessible par les commandes 
appartenant a au moins deux applications predetermines, parmi ledit 
groupe d'au moins une commande auquel s'applique ladite condition 
d'acces alternative particuliere. 
Dans un mode de realisation particulier de 1' invention, pour chaque objet, au 
moins une autre politique de controle d'acces, dite politique de controle d'accfes & 
distance, est definie par un jeu d'au moins une condition d'acc&s a distance, chaque 
condition d'acces a distance s'appliquant, pour ledit objet, a un groupe d'au moins une 
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commande distante appartenant a la ou aux applications distantes utilisant ladite politique 

de contrSle d'acces a distance, 

et pour chaque objet, seuls les indicateurs de politique de controle d'acces 
associes chacun a une des applications distantes peuvent indiquer ladite politique de 
5 controle d'acces a distance. 

Dans ce mode de realisation particulier, chaque objet peut voir son acces autorise 
ou interdit a chaque application distante, a condition bien sur que la politique de controle 
d'acces a distance soit celle devant effectivement etre utilisee avec cette application 
distante. 

I o Pour chaque objet, on peut prevoir : 

soit une politique de contr61e d'acces a distance distincte pour chaque 
application distante ; 

soit une merae politique de controle d'acces a distance pour au moins 
certaines des applications distantes (ou bien pour toutes). 
j 5 u est ^ noter que si, mise a part la premiere politique de contrdle d'acces, l'unique 

ou toutes les autres politiques de controle d'acces sont des politiques de contrSle d'acces 
a distance, alors la premiere politique de contrSle d'acces doit obligatoirement etre utilisee 

avec la ou les applications locales. 

De facon avantageuse, pour chaque objet, chaque condition d'acces a distance 
20 peut prendre les memes valeurs que lesdites conditions d'acces alternatives particulieres. 

Ainsi, il est possible de realiser une partition de la memoire de donnees de la carte 
utilisateur entre les differentes applications distantes. En effet, certains objets peuvent etre 

rendus accessibles : 

soit ("aucun acces") par aucune commande distante, quelle que soit 
25 1' application distante a laquelle cette commande distante appartient ; 

soit ("acces prive") seulement par toutes ou certaines des commandes 

appartenant a une unique application distante, elite parente de cet objet ; 

soit ("acces partage") par toutes ou certaines des commandes appartenant a 

certaines applications distantes bien determinees. 
30 De cette fa?on, tous les objets a acces prive lies a une meme applicaUon distante 
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parente constituent une zone securisee et etanche, propre a cette application parente et 
inaccessible aux autres applications. Le fournisseur d'une application distante donn£e est 
ainsi assure que d'autres applications distantes que la sienne ne peuvent pas acceder & la 
zone securisee qui lui est allouee. 

Dans un mode de realisation avantageux de Pinvention, dans lequel lesdits 
moyens de memorisation de donnees de chaque carte utilisateur sont du type poss£dant 
une structure hierarchique h au moins trois niveaux et comprenant au moins les trois types 
de fichiers suivants : 

fichier maitre, ou repertoire principal ; 

fichier specialise, ou repertoire secondaire place sous ledit fichier maitre ; 
fichier elementaire, place sous un desdits fichiers specialises, dit fichier 
specialise parent, ou directement sous ledit fichier maitre, dit fichier mattre 
parent, 

ledit systeme est caracterise en ce que lesdits moyens de memorisation de donnees 
de chaque carte utilisateur comprennent au moins un fichier elementaire systeme, chaque 
fichier elementaire systeme etant lie a une application distante autoiisee et stockant une 
premiere information de localisation de la reference secrete et du mode d'authentification 
de message associes a cette application distante autorisee a laquelle il est lie, 

et en ce que chaque message ameliore comprend une seconde information de 
localisation du fichier elementaire systeme auquel est liee 1' application distante autorisee k 
laquelle appartiennent les commandes contenues dans ledit message ameliord, 

lesdits moyens d' authentication lisant dans chaque message am61ior6 discrimin6 
ladite seconde information de localisation du fichier elementaire systeme, de fagon h lire 
dans le fichier elementaire systeme ladite premiere information de localisation de la 
reference secrete et du mode d'authentification de message a utiliser pour authentifier ledit 
message ameliore discrimine. 

Ainsi, chaque fichier elementaire systeme contient des informations permettant de 
retrouver les elements necessaire a P operation d'authentification d'un message 6mis par 
P application distante a laquelle est lie ce fichier elementaire systeme. De son cote, chaque 
message comporte (dans son en-tete) des informations permettant de retouver le fichier 
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elementaire systeme auquel son application emettrice est liee, de fagon que son 
authentification puisse etre effectuee. 

Avantageusement, chaque fichier elementaire systeme est plac<5 sous un fichier 
specialise ou directement sous le fichier maitre, un fichier elementaire syst&me au 
maximum pouvant etre place sous chaque fichier specialist et un fichier Elementaire 
systeme au maximum pouvant Stre place directement sous le fichier maitre. 

De fagon preferentielle, si aucun fichier elementaire systeme n'existe sous un 
fichier specialise, ni sous le fichier maitre, alors chaque fichier elementaire plac6 sous 
ledit fichier specialise, quelle que soil la valeur des conditions d'accfes k distance 
associees a ce fichier elementaire, n'est accessible par aucune commande distante, 

et si aucun fichier elementaire systeme n' existe directement sous le fichier maitre, 
alors chaque fichier elementaire place directement sous le fichier maitre, quelle que soit la 
valeur des conditions d'acces & distance associees a ce fichier elementaire, n'est 
accessible par aucune commande distante. 

Ceci signifie que pour etre accessible par une commande distante, un fichier doit 
etre place sous un fichier specialise ou directement sous un fichier maitre auquel se 
rapporte un fichier elementaire systeme. Ce qu'on entend ici par "se rapporte" est pnScisE 
par la suite. 

Preferentiellement, ladite seconde information de localisation du fichier 
elementaire systeme est un identificateur d'un fichier specialise ou d'un fichier maitre 
auquel se rapporte ledit fichier elementaire systeme selon une strategie de recherche 
predeterminee dans les moyens de memorisation de donnees. 

Avantageusement, ladite strategie de recherche predeterminee dans les moyens de 
memorisation de donnees est un mecanisme de recherche en amont (du type 
"backtracking"), consistant a rechercher si un fichier Elementaire systeme existe sous le 
fichier specialise ou le fichier maitre indique par ledit identificateur, et, dans la negative et 
si 1' identificateur n'indique pas le fichier maitre, a rechercher si un fichier etementaire 
systeme existe directement sous le fichier maitre. 

Ainsi, Pexpression u se rapporte" utilisee precedemment correspond par exemple & 
une recherche de type "backtracking". 
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Dans un mode de realisation avantageux de V invention, dans le cas d'un fichier 
dont une des conditions d'acc&s k distance poss&de la valeur "acces prive", ladite unique 
application distante predetermine dont les commandes distantes peuvent acctder audit 
fichier est, sous reserve que son authentification soit reussie, 1' application distante 
autorisee parente dudit fichier, c'est-a-dire 1' application distante autorisee liee au meme 
fichier elementaire systeme que celui auquel se rapporte le fichier specialist parent ou le 
fichier maitre parent dudit fichier, 

et, dans le cas d'un fichier dont la condition d'acces k distance possfcde la valeur 
"acces partage", lesdites au moins deux applications distantes predeterminees dont les 
commandes distantes peuvent acceder audit fichier sont, sous reserve que leur 
authentification soit reussie, toutes les applications distantes autorisees, quel que soit le 
fichier elementaire systeme auquel chacune d'elles est life. 

Ainsi, une application parente liee a un fichier elementaire systeme donnt a 
comme fichiers enfants tous les fichiers dont le fichier specialise parent ou le fichier 
maitre parent (c'est-a-dire le fichier specialise ou le fichier maitre sous lequel ils sont 
directement places) se rapporte a ce fichier elementaire systeme donn6. 

L'ensemble des fichiers enfants d'une application parente constitue un 
regroupement logique de fichiers, egalement appele domaine de sdcurite propre k cette 
application. Dans le cas d'un acces distant autorise du type "prive", c'est ce domaine de 
securite qui delimite la zone securisee specifique a 1* application beneficiant de ce droit 
privatif 

En d'autres termes, le domaine de securite consiste pour partie k regrouper 
logiquement les fichiers en fonction de leur lien de dependance parent/enfant avec une 
application. Chaque application possede son domaine de securite. Cela consiste en fait k 
donner une definition des objets du domaine de securite de T application. Le 
regroupement logique des fichiers peut done etre appel6 domaine de securite de 
I' application, ou encore domaine de validite du schema securitaire de Fapplication. 

De fa?on avantageuse, chaque fichier elementaire systeme comprend un ensemble 
distinct d'indicateurs de politique de controle d'acces, chaque indicateur de politique de 
controle d'acces indiquant, pour une desdites applications, quelle politique de controle 
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d'acces, a savoir premiere ou autre, utiliser avec cette application, 

ledit ensemble distinct d'indicateurs de politique de controle d'accfcs &ant assocte 
a tous les fichiers dont le fichier specialise parent ou le fichier maitre parent se rapporte 
audit fichier elementaire systeme. 

L' invention concerne egalement une carte utilisateur a microprocesseur du type 
destine a cooperer avec un terminal de fa?on a constituer un equipement terminal d'un 
systeme de communication tel que precite, 

earacterisee en ce que chaque objet des moyens de memorisation de donn£es de 
ladite carte utilisateur est egalement associe a au moins une autre politique de contr61e 
d'acces, chaque autre politique de controle d'acces etant definie par un jeu d'au moins 
une condition d'acces alternative, chaque condition d'acces alternative d'une autre 
politique de controle d'acces donnee s'appliquant, pour ledit objet, a un groupe d'au 
moins une commande appartenant a la ou aux applications utilisant ladite autre politique 
de controle d'acces donnee, 

et en ce que chaque objet est egalement associe a une pluralite d'indicateurs de 
politique de controle d'acces, chaque indicateur de politique de controle d'acc&s 
indiquant, pour une desdites applications, quelle politique de controle d'acces, a savoir 
premiere ou autre, utiliser avec cette application, lesdits indicateurs de politique de 
controle d'acces etant stockes dans les moyens de memorisation de donnees de ladite 
carte utilisateur. 

L'invention concerne aussi un procede de gestion securisee et ind^pendante d'au 
moins deux applications distantes, par une carte utilisateur a microprocesseur du type 
destine a cooperer avec un terminal de fa?on a constituer un equipement terminal d'un 
systeme de communication tel que precite, 

caracterise en ce que, pour chaque message ameliore regu, ladite carte utilisateur 
effectue notamment l'etape suivante : pour chaque commande distante contenue dans ledit 
message ameliore, verification de F accessibility de cette commande distante k l'objet 
concerne, ladite verification de 1' accessible s'appuyant sur une politique de controle 
d'acces, premiere ou a distance, a utiliser pour ledit objet concerne avec ladite application 
distante courante. 
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Avantageusement, pour chaque message ameliore re?u, ladite carte utilisateur 
effectue egalement une etape prealable de discrimination dudit message am£lior6, de fa?on 
a ne poursuivre son traitement que si V application distante, dite application distante 
courante, a laquelle appartiennent les commandes distantes qu'il contient est une 
application distante autorisee. 

De fa$on avantageuse, pour chaque message ameliore re§u, ladite carte utilisateur 
effectue egalement une etape prealable d'authentification dudit message am61ior6, en 
utilisant une reference secrete et un mode d'authentification de message assoctes k ladite 
application distante courante. 

Avantageusement, au moins certains des elements appartenant au groupe suivant 
peuvent etre crees et/ou mis a jour et/ou supprimes par Tintermediaire de commandes 
distantes : 

les valeurs des conditions d'acces, notamment premieres ou k distance, 
des politiques de controle d'acces associees a chaque objet ; 
Tindicateur de politique de controle d'acc&s, notamment premiere ou h 
distance, a utiliser avec chaque application pour chaque objet ; 
la liste des applications distantes autorisees ; 

pour chacune des applications distantes autorisees de ladite liste, la 
reference secrete et le mode d'authentification de message assoctes ; 
le ou lesdits fichiers elementaires systeme lies chacun a une application 
distante autorisee distincte ; 
les fichiers elementaires, specialise et maitre. 
Ainsi, la securisation d'acces aux objets selon l'invention peut etre adaptee, par 
mise a jour ou reconfiguration, a revolution des besoins de chaque application. 

De plus, des applications (par exemple distantes) entierement nouvelles peuvent 
etre ajoutees et supportees par la memoire de donnees de la carte memoire. Ces nouvelles 
applications (distantes) peuvent beneficier, de la meme fa$on que les applications 
(distantes) prevues a l'origine, d'une securite d'acces propre (avec par exemple un mode 
d'authentification, une reference secrete et un schema securitaire specifiques). 

D'autres caracteristiques et avantages de l'invention apparaitront k la lecture de la 
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description suivante d'un mode de realisation preferentiel de F invention, donn£ h. titre 
d' exemple indicatif et non limitatif, et des dessins annexes, dans lesquels : 

la figure 1 presente un schema synoptique simplifie d'un mode de 
realisation particulier d'un systeme de radiocommunication cellulaire selon 
Finvention ; 

la figure 2 presente la structure d'un mode de realisation particulier d'un 
message court ameliore selon Finvention re9u par le module SIM de la 
figure 1 ; 

la figure 3A presente de fa$on schematique un mode de realisation 

particulier d'un fichier de la memoire de donnees de la figure 1, avec ses 

politiques de controle d'acces et ses indicateurs associes ; 

la figure 3B presente un exemple d'une pluralite d'indicateurs tels 

qu' associes a un fichier comme presente sur la figure 3 A ; 

la figure 4 presente un premier exemple de partition de la memoire de 

donnees de la figure 1 entre plusieurs applications ; 

la figure 5 presente un organigramme simplifie d'un mode de realisation 

particulier du traitement par le module SIM de la figure 1 d'un message 

court ameliore ; 

les figures 6 et 7 permettent d'expliciter les etapes de filtrage d'application 
et d'authentification de message apparaissant sur la figure 5 ; 
les figures 8 et 9 permettent d'expliciter Fetape de sScurisation de 
l'execution d'une commande apparaissant sur la figure 5 ; 
la figure 10 presente un second exemple de partition de la mdmoire de 
donnees de la figure 1 entre plusieurs applications. 
Dans le mode de realisation particulier decrit ci-dessous, uniquement a titre 
d'exemple, le systeme de communication est un systeme de radiocommunication 
cellulaire du type GSM. II est clair toutefois que Finvention n'est pas limitee k ce type 
particulier de systeme de communication, mais concerne plus gen^ralement tous les 
systemes de communication comprenant une pluralite d'equipements terminaux constitu6s 
chacun d'un terminal cooperant avec une carte utilisateur a microprocesseur. 
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Dans un souci de simplification, sur la figure 1, on a represents uniquement une 
station mobile (MS) 1 reliee, via un reseau 2, h. un centre de service de messages courts 
(SMS-C) 3. En reality le systeme comprend une plurality de stations mobiles 1, 
constitutes chacune d'un terminal (ME) 4 cooperant avec un module d' identification 
d'abonne (module SIM) 5. 

Chaque module SIM 5 comprend notamment, de fa?on classique : 

des moyens 6 d'execution de commandes, constitues generalement d'un 
microprocesseur ; 

une memoire programme 7, stockant T application GSM (ou plus 
generalement 1* application principale tetephonique) et 6ventuellement 
d'autres applications locales. Cette memoire programme 7 est par exemple 
une memoire ROM ; 

une memoire de donnees 8, servant de support & toutes les applications, 
locales ou distantes, que le module SIM peut executer. En d'autres 
termes, elle stocke toutes les donnees auxquelles les applications 
supportees doivent pouvoir acceder lors de leur execution. Par exemple, 
elle stocke toutes les informations individuelles de 1'abonne (telles que 
notamment son numero international d'abonne (identifiant IMSI), sa cl6 
d'authentification individuelle (Ki) et l'algorithme d' authentication (A3)) 
necessaires a l'execution de l'application GSM. Cette memoire de donn<Ses 
8 est par exemple une memoire EEPROM ; 

des moyens 9 de stockage et traitement des messages courts re$us. En 
effet, chaque message court re9U par le terminal 4 est transmis au module 
SIM 5 pour traitement par T application GSM. 
Le SMS-C 3 met en oeuvre un service de messages courts ameliorS (ESMS) qui 

permet d'envoyer deux types de messages courts a Pensemble des stations mobiles 1, h 

savoir : 

des messages courts "normaux", qui transported uniquement des donnges 
brutes. Les donnees brutes d'un message court normal correspondent h 
une information a afficher sur un ecran du terminal 4, par exemple pour 
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inviter 1'abonne a rappeler un numero donne ; 

des messages courts "ameliores", qui transporter* des commandes 
appartenant a des applications dites distantes (ou OTA), du fait que les 
commandes (egalement dites distantes) qui les constituent ne sont pas 
stockees dans la memoire programme 7 du module SIM. 
La figure 2 presente la structure d'un mode de realisation particulier d'un message 
court ameliore selon 1'invention re?u par le module SIM 5. Ce message court am61ior£ 20 
comprend un en-tete SMS 21 (SMS Header en langue anglaise) et un corps 22 (TP-UD, 
pour "Transfer layer Protocol - User Data" en langue anglaise). Les commandes distantes 
Cmdl, Cmd2, etc sont placees dans le corps 22. II s'agit par exemple de commandes 
classiques (operationnelles ou administratives), definies dans les normes GSM 11.11, 
ISO 78.16-4 ou encore EN 726-3, telles que SELECT, UPDATE BINARY, UPDATE 
RECORD, SEEK, CREATE FILE, CREATE RECORD, EXTEND, etc. Les autres 
champs concernes par la presente invention sont presentes en detail dans la suite de la 
description. 

La memoire de donnees 8 comprend une pluralite de fichiers. De fa?on classique, 
et comme specifie dans la norme GSM 11.11, chacun de ces fichiers est assocte h. une 
politique de controle d'acces standard. Celle-ci est definie par une pluralite de conditions 
d'acces standard (Standard AC) s'appliquant chacune a une commande distincte 
susceptible d'acceder a ce fichier. Chaque condition d'acces standard peut prendre 
differentes valeurs (par exemple "ALWays", "CHV1", U CHV2" ou encore "NEVer"). 
Aucune de ces valeurs n'est fonction de Tapplication a laquelle appartient la commande 
qui desire acceder au fichier. 

Le principe general de 1'invention consiste a associer egalement a chaque fichier 
de la memoire de donnees 8 : 

au moins une autre politique de controle d'acces, chaque autre politique de 
controle d'acces etant definie par un jeu d'au moins une condition d'accfes 
alternative, chaque condition d'acces alternative d'une autre politique de 
controle d'acces donnee s'appliquant, pour ce fichier, & un groupe d'au 
moins une commande appartenant a la ou aux applications utilisant cette 
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autre politique de controle d'acces ; et 

pour chacune des applications supportees, un indicateur de politique de 
controle d'acces, indiquant quelle politique de controle d'acces, h. savoir 
standard ou autre, utiliser avec cette application. 
Dans un souci de simplification, dans P exemple presente dans la suite de la 
description, les applications ne possedent pas chacune, pour chaque fichier, une autre 
politique de controle d'accds qui leur est propre (avec leur propre jeu de conditions 
d'acces alternatives) mais se partagent toutes, et de fagon complete (c'est-i-dire pour 
toutes leurs commandes sans distinction), deux autres politiques de controles d'accSs 
communes (avec chacune une unique condition d'acc&s qui s'applique pour toutes les 
commandes). 

La figure 3A presente de fa?on schematique un mode de realisation particulier 
d'un fichier 30 de la memoire de donnees 8, avec ses politiques de controle d'acc&s 31 et 
ses indicateurs associes 32. Le tableau de T annexe 1 presente un exemple d'une plurality 
de politiques de controle d'acces telles qu'associees a ce fichier 30. La figure 3B prdsente 
un exemple d'une pluralite d'indicateurs 32 tels qu'associes au fichier 30. 

Dans 1' exemple suivant de caracteristiques associees a un fichier 30, d£crit en 
relation avec la figure 3B et le tableau de 1' annexe 1, on considere que : 

le module SIM supporte I 'application GSM (unique application locale) et 
trois applications distantes (appli. dist. 1, appli. dist. 1' et appli. dist. 1") 

il existe une politique de controle d'acces standard (PCA standard) et deux 
politiques de controle d'acces a distance (PCA a distance n°l et PCA k 
distance n°2). 

Comme presente sur le tableau de l'annexe 1, dans la politique de contrdle d'accfes 
standard, chaque commande (distante ou locale), quelle que soit 1' application h laquelle 
elle appartient (application GSM ou Tune des applications distantes), est assoctee & une 
condition d'acces standard specifique (cond. d'acces std 1, cond. d'acces std 2, ...). De 
fa?on classique, chaque condition d'acces standard possede une valeur appartenant au 
groupe comprenant : "ALWAYS" (acces toujours autorise), "CHV1" ou "CHV2" (accds 
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autorise apres verification du possesseur du module SIM) et "NEVER" (accfcs jamais 
autorise). 

Dans la politique de controle d'acces a distance n°l, toutes les commandes 
distantes (dans un souci de simplification), quelle que soit V application h, laquelle elles 
appartiennent, sont associees a une meme condition d'acc&s a distance (<Sgalement dans 
un souci de simplification) (cond. d'acces a dist. 1). Cette condition d'accfes a distance 
peut par exemple prendre Tune des trois valeurs suivantes : "PARTAGE", "PRIVE" et 
"JAMAIS". Ainsi, dans cet exemple, elle possede la valeur "PARTAGE". 
On explique maintenant le sens de chacune de ces trois valeurs : 

"JAMAIS" (ou "aucun acces") signifie que le fichier 30 n'est accessible 
par aucune commande, quelle que soit 1'application h laquelle appartient 
cette commande ; 

"PRIVE" (ou "acces prive") signifie que le fichier 30 n'est accessible que 
par les commandes appartenant a une unique application prdd6termin6e ; 
"PART AGE" (ou "acces partage") signifie que le fichier 30 est accessible 
par les commandes appartenant k au moins deux applications 
predetermines. 

On notera que les trois valeurs "PARTAGE", "PRIVE" et "JAMAIS" sont encore 
discutees dans la suite de la description, en relation avec les figures 9 a 1 1 . 

Dans la politique de controle d'acces a distance n°2, toutes les commandes 
distantes, quelle que soit 1'application a laquelle elles appartiennent, sont assoctees & une 
meme condition d'acces a distance (cond. d'acces a dist. 2). Cette condition d'acces k 
distance peut par exemple prendre une valeur X parmi un autre groupe de valeurs (X, Y, 
Z, ...) que celui precite (et comprenant les valeurs "PARTAGE", "PRIVE" et 
"JAMAIS"). 

Comme presente sur la figure 3B, pour chacune des applications supporttSes 
(appli. GSM, appli. dist. 1, appli. dist. 1' et appli. dist. 1") , un indicateur de politique 
de controle d'acces precise quelle politique de controle d'acces utiliser avec cette 
application (a savoir PCA standard, PCA a distance n°l ou PCA a distance n°2). 

Ainsi, on peut obtenir une partition de la memoire de donnees 8 (et plus 
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precisement de l'ensemble des fichiers utilisant une meme politique de controle d'accfcs k 
distance) en fonction des differentes applications distantes suppportfes par cette m6moire 
de donnees, 

Dans l'exemple presente sur la figure 4, tous les fichiers de la memoire de 
donnees utilisent la politique de controle d'acces a distance n°L Ainsi, vu de 1'exterieur 
(c'est-^-dire pour les applications distantes), la memoire de donnees apparait partagee 
entre une application locale et trois applications distantes (Fidelite, Paiement et GSM). On 
notera que, dans cet exemple, T application appelee GSM n'est pas locale mais distante. 

La memoire de donnees 8 possede, dans le mode de realisation presente k titre 
d'exemple, une structure hierarchique a trois niveaux et comprend les trois types de 
fichiers suivants : 

un fichier maitre (MF), ou repertoire principal ; 

une pluralite de fichiers specialises (DF, DFFid&it6> DF Paiement» DFgsm* 
DF T £i£ Com ), qui sont des repertoires secondaires places sous le fichier 
maitre ; 

une pluralite de fichiers elementaires (EF), places chacun soit sous un des 
fichiers specialises (dit alors fichier specialise parent) soit directement 
sous le fichier maitre (dit alors fichier maitre parent). 
On distingue huit groupes de fichiers, a savoir : 

groupe A : les fichiers uniquement accessibles par les commandes de 
I'application distante Fidelite, c'est-a-dire les fichiers dont la condition 
d'acces a distance est "PRTVE" pour I'application Fidelity ; 
groupe B : les fichiers uniquement accessibles par les commandes de 
I'application distante Paiement ; 

groupe C : les fichiers accessibles par les commandes des applications 
distantes Fidelite et Paiement, c'est-a-dire les fichiers dont la condition 
d'acces a distance est "PART AGE" pour les applications Fid£lit6 et 
Paiement ; 

groupe D : les fichiers uniquement accessibles par les commandes de 
I'application distante Telecom ; 
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groupe E : les fichiers accessibles par les commandes des applications 
distantes Telecom et Fidelite ; 

groupe F : les fichiers accessibles par les commandes des applications 
distantes Paiement et Fidelite ; 

groupe G : les fichiers accessibles par les commandes des applications 
distantes Telecom, Paiement et Fidelite ; 

groupe H : les fichiers accessibles par les commandes d'aucune 
application distante, c'est-^dire les fichiers dont la condition d'accfes k 
distance est "JAMAIS". 

II est & noter que les fichiers du groupe H restent accessibles aux commandes de 
1' application locale (sous reserve que les conditions d'accfcs standard correspondantes 
soient verifiees). De meme, les fichiers du groupe H seraient accessibles aux commandes 
d' applications distantes qui utiliseraient la politique de controle d'acc&s standard et non 
pas la politique de controle d'acces a distance (sous reserve ft encore que les conditions 
d'acces standard correspondantes soient verifiees). 

On presente maintenant, en relation avec 1'organigramme de la figure 5, un mode 
de realisation particulier du procede de traitement par le module SIM d'un message court 
ameliore. Pour chaque message court amdlior6 re?u, le module SIM effectue notamment 
les etapes suivantes : 

il determine (51) si le message court re$u (egalement appele signal OTA) est un 

message court ameliore (et contient done des commandes appartenant h. une 

application distante) ou un message court normal ; 

il poursuit (52) le traitement s'il s'agit d'un message court am£lior6, et 
Tinterrompt (53) dans le cas contraire ; 

il determine (54) si 1' application distante emettrice du message (e'est-^-dire 
Tapplication dont des commandes sont contenues dans le message) est une 
application distante autorisee (etape 54 de discrimination d' application) ; 
il poursuit (55) le traitement s'il s'agit d'une application distante autorisee, et 
Tinterrompt (56) dans le cas contraire ; 

il verifie (57) r authenticity du message en utilisant une reference secr&e et un 
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mode cTauthentification de message associes k F application distante emettrice du 
message (etape 57 d'authentification de message) ; 

il poursuit (58) le traitement s'il l'authentification est correcte, et rinterrompt (59) 
dans le cas contraire ; 

pour chaque commande distante contenue dans le message : 

* il interprete (510) chaque commande distante (Egalement appehSe 
operation) contenue dans le message ; 

* il verifie (511) F accessibility de cette commande distante au fichier 
concerne (egalement appele champ de donnees), en fonction de la 
politique de controle d'acces, standard ou a distance, & utiliser pour le 
fichier concerne avec Implication distante emettrice du message (6tape 
51 1 de securisation de Texecution d'une commande) ; 

* il poursuit (512) le traitement si la commande distante peut acc&ier au 
fichier, et passe (513) dans le cas contraire & Tetape 515 d'etablissement 
d'un compte-rendu ; 

* il execute (514) la commande ; et 

il etablit (5 1 5) un compte-rendu d'execution. 

Les figures 6, 7 et 8 permettent d'expliciter les etapes de discrimination 
duplication 54 et d'authentification de message 57. 

Comme presente sur la figure 6, un fichier 60 de la memoire de donnees 8 stocke 
une liste d* applications distantes autorisees. Ce fichier 60, appeld fichier etementaire 
d'entree (ou encore EF SMS Log), contient par exemple les adresses (TP-OA 1 h TP-OA 
n) de chacun des fournisseurs d' application distante autorisSe. Ces adresses sont appel£es 
adresses TP-OA, pour "TP-Originating-Addresses" en langue anglaise. Par ailleurs, 
chaque message court ameliore comprend dans son en-tete (cf figure 2) un champ 'TP- 
OA" 

Ainsi, lors de l'etape 54 de discrimination duplication 54, le module SIM 
identifie 1' application distante emettrice du message en s'assurant que l'adresse TP-OA du 
message est identique a Tune des adresses TP-OA du fichier elementaire d'entnSe 60. 

La figure 6 illustre egalement le fait que, pour chaque adresse TP-OA (c'est-^-dire 
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chaque application distante autorisee) du fichier elementaire d'entree 60, le module SIM a 
la possibility d'acceder, dans la memoire de donnees 8, a un ensemble 61 h 63 de trois 
parametres : une reference secrete (Kappli), un mode d* authentication de message 
(algo_id) et un schema securitaire. 

Ainsi, comme illustre sur la figure 7, pour effectuer l'&ape 57 d'authentification 
de message, le module SIM utilise la reference secrete (Kappli) et le mode 
d'authentification de message (algojd) qui sont associes k V application emettrice du 
message et qu'il a prealablement retrouves dans la memoire de donnees 8, A partir de ces 
deux parametres (Kappli et algo_id) et des donnees du corp du message, le module SIM 
calcule par exemple un cryptogramme qui doit etre identique a un cryptogramme (SMS- 
Cert) contenu dans le corp du message (cf figure 2) pour que Pauthentification du 
message soit reussie. 

La figure 8 permet d'expliciter 1'etape 51 1 de securisation de r execution d'une 
commande. Chaque commande (ou operation) d'un message est effectivement 6x6cnt6e 
seulement si, d'apres I'etat courant de securite du module SIM ainsi que les informations 
et les attributs de securite lies a V application distante emettrice du message, cette 
commande est autorisee a acceder aux fichiers sur lesquels elle travaille. Ceci correspond 
au schema securitaire de V application distante. 

Dans la suite de la description, on presente un mode de realisation particulier de 
1' invention, dans lequel chaque application distante autorisee est associee h un fichier 
elementaire systeme (EF SMS System) de la memoire de donnees 8. 

Chaque fichier elementaire systeme stocke une premifere information permettant de 
localiser dans la memoire de donnees 8 un couple (reference secrete Kappli, mode 
d'authentification de message algo_id), ce couple etant associe a 1' application distante 
autorisee a laquelle est lie ce fichier elementaire systeme. 

Dans le present mode de realisation, cette premiere information de localisation 
d'un couple (Kappli, algo_Jd) est un identificateur d'un fichier specialist sous lequel se 
trouve le fichier EF key_op contenant ce couple. Le fichier EF key_op peut stocker lui- 
meme le mode d'authentification de message ou bien seulement un pointeur algo_id 
indiquant le lieu de stockage de ce mode d'authentification de message. 
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Par ailleurs, chaque message court ameliore comprend une seconde information 
de localisation du fichier elementaire systeme auquel est liee 1' application distante 
autorisee emettrice du message court ameliore. 

Comme presente sur la figure 2, dans le present mode de realisation, cette 
seconde information de localisation d'un fichier elementaire systeme est un identificateur 
"DF entree" (ou Login DF en langue anglaise) d'un fichier specialise ou d'un fichier 
maitre auquel se rapporte, selon une strategic de recherche predetermine dans les 
moyens de memorisation de donnees, ce fichier elementaire systeme. 

Le module SIM met par exemple en oeuvre un mecanisme de recherche en amont 
(du type "backtracking"), consistant : 

a rechercher un fichier elementaire systeme tout d'abord sous le fichier 
specialise ou le fichier maitre courant (c'est-a-dire celui indique par 
T identificateur "DF entree"), 

puis, si aucun fichier elementaire systeme n'existe sous le fichier 
specialise ou le fichier maitre courant et si 1' identificateur "DF entree" 
n' indique pas le fichier maitre, a rechercher un fichier elementaire systeme 
directement sous le fichier maitre. 
Ainsi, le module SIM lit dans chaque message court ameliore filtre l'identificateur 
DF Id. A partir de cet identificateur "DF entree", il retrouve le fichier elementaire systeme 
auquel est liee 1'application distante autorisee emettrice du message. Le module SIM lit 
dans ce fichier elementaire systeme Fidentificateur du fichier specialise sous lequel se 
trouve le fichier EF key_op. Dans ce fichier EF key_op, il lit le couple (Kappli, algo_Jd), 
de fa?on a connaitre la reference secrete et le mode d'authentification de message k utiliser 
pour authentifier le message court ameliore filtre. 

Un fichier elementaire systeme au maximum peut etre place sous un fichier 
specialise. De meme, un fichier elementaire systeme au maximum peut etre place 
directement sous le fichier maitre. 

Si aucun fichier elementaire systeme n'existe sous un fichier specialise, ni sous le 
fichier maitre, les EF places sous ce fichier specialise, quelle que soit la valeur de la 
condition d'acces a distance associee a chacun de ces fichiers eiementaires, ne sont 



2748834 



27 

accessibles par aucune commande distante. 

De meme, si aucun fichier elementaire systeme n'existe directement ni sous le 
fichier maitre, alors les fichiers elementaires places directement sous le fichier maitre, 
quelle que soit la valeur de la condition d' acces k distance associee & chacun de ces 
fichiers elementaires, ne sont accessibles par aucune commande distante. 

Dans le cas d'un fichier dont la condition d'acc&s a distance possfcde la valeur 
"PRIVE" ("acces prive"), Funique application distante dont les commandes distantes 
peuvent acceder a ce fichier est, sous reserve que son authentification soit reussie, 
T application distante autorisee liee au meme fichier elementaire systeme que celui auquel 
se rapporte le fichier specialise ou fichier maitre parent de ce fichier. Cette application 
distante autorisee est elite parente de ce fichier. 

Dans le cas d'un fichier dont la condition d'acc&s h distance possede la valeur 
"PARTAGE" ("acces partage"), les applications distantes predetermines dont les 
commandes distantes peuvent acceder a ce fichier sont, sous reserve que leur 
authentification soit reussie, toutes les applications distantes autoris^es, quel que soit le 
fichier elementaire systeme auquel chacune d'elles est liee. 

La figure 9 presente un exemple de memoire de donnees 8 partagee entre deux 
applications distantes, a savoir : 

T application "DF1", dont FEF SMS System 91 se rapporte au fichier 
specialise DF1 ; et 

r application "MF\ dont le fichier elementaire systeme 92 se rapporte au 
fichier maitre MR 

On notera que les messages emis par V application "DF1" comportent dans leur 
champ "DF entree" la valeur DF1, qui est le fichier specialise sous lequel se trouve le 
fichier elementaire systeme 91 de cette application "DFF\ 

Par contre, les messages emis par F application "MF" component dans leur champ 
"DF entree" la valeur MF/DF2, et non pas la valeur MF. En fait, aucun fichier 61£mentaire 
systeme ne se trouvant sous ce fichier specialise DF2, e'est bien sous le fichier maitre que 
le module SIM va chercher (mecanisme de "backtracking") le fichier elementaire systeme 
92 de cette application "MF\ 
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Dans cet exemple, on distingue les quatre groupes de fichiers suivants : 

groupe A' : les fichiers (DF1, EF2) uniquement accessibles par les 
commandes de 1' application distante "DF1", c'est-&-dire les fichiers dont 
la condition d'acces a distance est "PRIVE" pour l'application "DFl" ; 
groupe B' : les fichiers (MF, DF2, EF5, EF7) uniquement accessibles par 
les commandes de l'application distante "MF' ; 

groupe C : les fichiers (EF3, EF1, EF6) accessibles par les commandes 
des applications distantes "DFl" et "MF', c'est-a-dire les fichiers dont la 
condition d'accfes a distance est "PARTAGE" pour les applications "DFl" 
et"MF'; 

groupe D' : les fichiers (EF4) accessibles par les commandes d'aucune 

application distante, c'est-a-dire les fichiers dont la condition d'accfcs h 

distance est "JAMAIS". 
II est important de souligner que la presente invention permet, par 1'intermediaire 
de commandes distantes, de creer, mettre a jour ou encore supprimer certains elements 
evoques ci-dessus, tels que notamment : 

les valeurs des conditions d'acces, standard ou a distance, des politiques 

de controle d'acces associees a chaque fichier ; 

F indicateur de la politique de contrdle d'acces, standard ou & distance, k 
utiliser avec chaque application pour chaque fichier ; 
la liste des applications distantes autorisees ; 

pour chacune des applications distantes autorisees, la reference secrete et 
le mode d' authentication de message associes ; 

les fichiers elementaires systemes EF SMS System lies chacun & une 

application distante autorisee distincte ; 

les fichiers elementaires EF, specialises DF et maitres MF. 
La figure 10 presente un second exemple de partition de la mdmoire de donn£es 8. 
Dans ce second exemple, la memoire de donnees 8 est partagee entre quatre applications 
distantes, a savoir : 

l'application "MF', dont le fichier elementaire systeme EF SMS System 0 
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presente une securite activee, se rapporte au fichier maitre ; 

V application "DFl", dont le fichier elementaire systeme EF SMS System 

1 presente une securite desactivee, se rapporte au fichier specialise DF1 ; 
l'application "DF2", dont le fichier elementaire systeme EF SMS System 

2 presente une securite activee, se rapporte au fichier specialise DF2 ; et 
l'application "DF4", dont le fichier elementaire systeme EF SMS System 
4 presente une securite desactivee, se rapporte au fichier specialise DF4. 

On entend par securite activee, pour un fichier elementaire systeme, le fait que 
Tindicateur de politique de controle d'acces contenu dans ce fichier elementaire systeme 
prevoit 1' utilisation d'une politique de controle d'acces a distance. De m&me, on entend 
par securite desactivee, pour un fichier elementaire systeme, le fait que Tindicateur de 
politique de controle d'acces contenu dans ce fichier elementaire systeme prevoit 
T utilisation de la politique de controle d'acces standard. 

II est a noter que le fichier specialise DF3, ainsi que tous les fichiers places sous 
le fichier specialise DF3, ont pour application parente "MF' puisqu'il n'existe aucun 
fichier elementaire systeme sous le fichier specialise DF3. 

Chaque fichier elementaire est associe a une valeur de condition d'acces a distance 
("jamais", "prive", ou "partage"). 

Le tableau de fannexe 2 resume les differentes situations d'aotes (acc6s autorise 
ou refuse) pour chaque fichier elementaire de la figure 10, en fonction du fichier 
specialise (ou fichier maitre) specifie dans Ten-tete du message. 

Pour chaque fichier elementaire a acceder par la commande (premiere colonne), 
on a indique: 

la valeur de condition d'acces a distance associee & ce fichier (premiere 
colonne egalement) ; 

l'EF ESMS System auquel se rapporte le fichier & acceder (seconde 
colonne) ; et 

l'etat (active ou desactive) de la securite de cet EF ESMS System (seconde 
colonne egalement). 

Pour chaque fichier specialise (ou fichier maitre) specifie dans 1'en-tete du 
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message, on a indique le fichier specialise (ou fichier maitre) parent du fichier el&nentaiie 
sy steme ou est effectute 1' authentication de message. On notera qu'aucune 
authentification de message n'est effectuee pour les fichiers specialises DF1 et DF4, dont 
les fichiers elementaires systemes (1 et 4 respectivement) presentent chacun une securite 
desactivee. 

Ce tableau rnontre clairement que : 

si un fichier elementaire systeme existe dans un fichier specialise, un fichier 
elementaire de ce fichier specialise dont la condition d'acces h distance est 
"PRTVE" ne peut pas etre accede a travers une commande distante contenue dans 
un message authentifie dans un autre fichier specialise ; 

si aucun fichier elementaire systeme n'existe dans un fichier specialist mais existe 
dans le fichier maitre, un fichier elementaire de ce fichier specialise dont la 
condition d'acces a distance est "PRIVE" ne peut pas etre acc&te a travers une 
commande distante contenue dans un message authentifie dans un autre fichier 
specialise, different du fichier maitre et contenant lui-meme un fichier elementaire 
systeme ; 

si aucun fichier elementaire systeme n* existe dans un fichier specialist, ni dans le 
fichier maitre, aucun message ne peut etre authentifie sous ce fichier specialise* et 
un fichier elementaire de ce fichier specialise, quelle que soit sa condition d'acces 
a distance, ne peut pas etre accede a travers une commande distante (en d'autres 
termes, si aucun fichier elementaire systeme n'est attache a un fichier, tout acces k 
distance - a travers une commande distante - est interdit) ; 

dans tous les cas, un fichier elementaire dont la condition d'acces h distance est 

"PARTAGE" peut etre accede a travers une commande distante contenue dans un 

message qui a ete authentifie. 

Ci-dessous, dans un but de simplification, on note : 

"LA" (pour "Login Appli" en langue anglaise) le fichier elementaire 
systeme qui se rapporte au fichier specialise DF sptcifit dans Ten-tete du 
message, et 

"PA" (pour "Parent Appli" en langue anglaise) le fichier elementaire 
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systfcme qui se rapporte au fichier a acceder. 
La securite peut alors, d'une fagon plus generate, etre entitlement et formellement 
decrite avec les sept regies suivantes : 

- Rl. Si aucun fichier PA ne peut etre trouve, 

-> Alors Faeces k distance est interdit. 

- R2. Si un fichier PA est trouve, mais la condition d'acces a distance du fichier k 

acceder est "PRTVE" : 

-> Alors Facc&s a distance est interdit. 

- R3. Si un fichier PA est trouve, et la condition d'acc&s a distance du fichier k accdder 

est "PRIVE", et le fichier PA n'est pas le meme que le fichier LA : 
-> Alors Faeces a distance est interdit. 

- R4. Si un fichier PA est trouve, et la condition d'acces k distance du fichier k acceder 

est "PRIVE", et le fichier PA est le meme que le fichier LA, et la security est 
desactivee dans le fichier LA : 

-> Alors Faeces a distance depend des conditions d'acces standard au fichier. 

- R5. Si un fichier PA est trouve, et la condition d'acc&s a distance du fichier k acceder 

est "PRIVE", et le fichier PA est le meme que le fichier LA, et la security est 

activee dans le fichier LA : 

-> Alors Faeces a distance est autorise. 

- R6. Si un fichier PA est trouve, et la condition d'acces a distance du fichier k acceder 

est "PARTAGE", et la securite est desactivee dans le fichier LA : 

-> Alors Faeces a distance depend des conditions d'acces standard au fichier. 

- R7. Si un fichier PA est trouve, et la condition d'acces a distance du fichier k acceder 

est "PARTAGE", et la securite est activee dans le fichier LA : 
-> Alors Faeces a distance est autorise. 



2748834 



Annexe 1 



Politique de 

controle 
d'acces(PCA) 


Application 


Commande 


(Vendition 

d'acces 


Valeur de 
la condition 
d'accSs 


PCA 
Standard 


indifferent 


commande (dist ou loc) 1 


cond. d'acc std 1 


ALWAYS 


indifferent 


commande (dist ou loc) 2 


cond. d'acc std 2 


CHV1 


• 


■ 

a 


• 
• 
• 


• 


indifferent 


commande (dist ou loc) k 


cond. d'acc std k 


NEVER 


PCA a 
distance 
N°l 


appli. distante 
1 


commande dist. 1 

commande dist. 2 

• 
• 

commande dist. m 


condition 
d'acces a 
distance 1 


PARTAGE 


appli. distante 
V 


commande dist. V 

commande dist. 2 1 

• 
• 
• 

commande dist. nV 


appli. distante 
1" 


commande dist. 1 " 
commande dist. 2" 

• 
• 

commande dist. m" 


• 

• 




PCA a 
distance 
N°2 


appli. distante 

1 


commande dist. 1 
commande dist. 2 

commande dist. m 


condition 
d'acces & 
distance 2 


X 


appli. distante 
1 


commande dist. 1 ' 

commande dist. 2' 

• 
• 

commande dist. m' 


appli. distante 

r 


commande dist. 1" 
commande dist. 2" 

• 

• 

commande dist. m" 


• 
• 
• 





2748834 



33 

Annexe 2 
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REVINDICATIONS 

1 . Systeme de communication, du type comprenant notamment une plurality 
d'equipements terminaux (MS ; 1) constitu6s chacun d'un terminal (ME ; 4) coop£rant 
avec une carte utilisateur a microprocesseur (module SIM ; 5), 

chaque carte utilisateur incluant des moyens (8) de memorisation de donnees 
comprenant une pluralite d'objets (MF, DF, EF), lesdits moyens (8) de memorisation de 
donnees servant de support a au moins deux applications distinctes (appli. GSM, appli. 
dist. 1 a appli. dist 1" ; Fidelite, Paiement, GSM ; "DFl", W), ladite carte utilisateur 
comprenant des moyens (6, 7) d'execution de commandes appartenant auxdites 
applications, 

chaque objet compris dans les moyens de memorisation de donnees d'une carte 
utilisateur etant associe a une premiere politique de contr61e d'accfes (PCA Standard) 
definie par un jeu de premieres conditions d'acces (cond. d'acc. std 1 k cond. d'acc, std 
k), chacune desdites premieres conditions d'acces s'appliquant, pour ledit objet, & un 
groupe d'au moins une commande appartenant a la ou aux applications utilisant ladite 
premiere politique de controle d'acces, 

caracterise en ce que chaque objet est egalement associe & au moins une autre 
politique de controle d'acces (PCA a distance n°l, PCA a distance n°2), chaque autre 
politique de controle d'acces etant definie par un jeu d'au moins une condition d'accds 
alternative (cond. d'acc. a dist. 1, cond. d'acc. a dist. 2), chaque condition d'accfes 
alternative d'une autre politique de controle d'acc&s donnee s'appliquant, pour ledit objet, 
a un groupe d'au moins une commande appartenant a la ou aux applications utilisant 
ladite autre politique de controle d'acces donnee, 

et en ce que chaque objet est egalement associe a une plurality d'indicateurs de 
politique de controle d'acces, chaque indicateur de politique de contrSle d'acc&s 
indiquant, pour une desdites applications, quelle politique de controle d'acces, h savoir 
premiere ou autre, utiliser avec cette application, lesdits indicateurs de politique de 
controle d'acces etant stockes dans lesdits moyens (8) de memorisation de donnees. 
2 . Systeme selon la revendication 1, caracterise en ce que, pour chaque objet, au 
moins une autre politique de controle d'acces est specifique a une des applications, 
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chaque condition d'acces alternative de cette autre politique de controle d'acces specifique 
s'appliquant, pour ledit objet, a un groupe d'au moins une commande appartenant h 
l'unique application utilisant cette autre politique de controle d'acces specifique. 

3 • Systeme selon Tune quelconque des revendications 1 et 2, caracteris6 en ce que, 
pour chaque objet, au moins une autre politique de controle d'acc&s est enti&rement 
commune a au moins deux applications, chaque condition d'acces alternative de cette 
autre politique de controle d'acces entierement commune s'appliquant, pour ledit objet, h 
un groupe d'au moins une commande appartenant auxdites au moins deux applications 
utilisant cette autre politique de controle d'accfes entierement commune. 

4 , Systeme selon 1'une quelconque des revendications 1 h 3, caract&ise en ce que, 
pour chaque objet, au moins une autre politique de controle d'acces est partiellement 
commune a au moins deux applications, 

certaines des conditions d'acces alternatives de cette autre politique de controle 
d'acces partiellement commune s'appliquant, pour ledit objet, a un groupe d'au moins 
une commande appartenant auxdites au moins deux applications utilisant cette autre 
politique de controle d'acces commune, 

d'autres des conditions d'acces alternatives de cette autre politique de controle 
d'acces partiellement commune s'appliquant, pour ledit objet, a un groupe d'au moins 
une commande appartenant uniquement a Tune desdites au moins deux applications 
utilisant cette autre politique de controle d'acces commune. 

5 . Systeme selon Tune quelconque des revendications 1 a 4, du type permettant une 
radiocommunication cellulaire, caracterise en ce que ladite plurality d'equipements 
terminaux est une pluralite de stations mobiles (MS ; 1), lesdites cartes utilisateur 6tant 
des modules d' identification d'abonne (module SIM ; 5). 

6 . Systeme selon Tune quelconque des revendications 1 a 5, du type comprenant en 
outre au moins un centre de service de messages (OSMS), 

lesdits moyens de memorisation de donnees d'une carte utilisateur servant de 
support a au moins une application locale et au moins une application distante de ladite 
carte utilisateur, les commandes etant dites locales, lorsqu'elles appartiennent k ladite 
application locale, ou distantes, lorsqu'elles appartiennent a ladite application distante, 
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chaque terminal (4) pouvant recevoir des messages, de type normal (SMS) ou 
ameliore (ESMS), emis par ledit centre de service de messages, chaque carte utilisateur 
(5) comprenant des moyens (9) de stockage et de traitement des messages regus par le 
terminal avec lequel elle coopere, 

les messages normaux contenant des donnees brutes constituant une information 
destinee a etre fournie a Tabonne via notamment un ecran d'affichage du terminal, les 
messages ameliores (20) contenant des commandes distantes (cmd 1, cmd 2, ♦..)» 

caracterise en ce que lesdits moyens (8) de memorisation de donnees de chaque 
carte utilisateur stockent egalement une liste d' applications distantes autoris€es (TP-OA 1 
a TP-OA n), 

et en ce que chaque carte utilisateur comprend egalement des moyens de 
discrimination des messages ameliores, permettant de bloquer chaque message am61ior6 
qui contient des commandes distantes n'appartenant pas a une desdites applications 
distantes autorisees. 

7 . Systeme selon la revendication 6, caracterise en ce que lesdits moyens de 
memorisation de donnees de chaque carte utilisateur stockent egalement, pour chacune 
desdites applications distantes autorisees, une reference secrete (Kappli) et un mode 
d'authentification de message (algo_id) associes, 

et en ce que chaque carte utilisateur (module SIM) comprend egalement des 
moyens d'authentification des messages ameliores discrimines, permettant d'authentifier 
un message ameliore discrimine en utilisant la reference secrete et le mode 
d'authentification de message associes, dans lesdits moyens de memorisation de 
donnees, a V application distante autorisee a laquelle appartiennent les commandes 
contenues dans ledit message ameliore discrimine. 

8 . Systeme selon l'une quelconque des revendications 1 a 7, caracterise en ce que, 
pour chaque objet, la ou au moins une des autres politiques de controle d'acc&s, dite 
seconde politique de controle d'acces, est defmie par un jeu d'au moins une condition 
d'acces alternative particuliere, chaque condition d'acces alternative particuliere pouvant 
prendre notamment les valeurs suivantes : 

"aucun acces" ("JAMAIS") : si ledit objet n'est accessible par aucune 
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commande dudit groupe d'au moins une commande auquel s' applique 
ladite condition d'acces alternative particuliere ; 

"acces prive" ("PRIVE") : si ledit objet n'est accessible que par les 
commandes appartenant & une unique application predetermine, parmi 
ledit groupe d'au moins une commande auquel s' applique ladite condition 
d'acces alternative particuliere ; 

"acces partage" ("PARTAGE") : si ledit objet est accessible par les 
commandes appartenant a au moins deux applications predetermines, 
parmi ledit groupe d'au moins une commande auquel s' applique ladite 
condition d'acces alternative particuliere. 
9 . Systeme selon Tune quelconque des revendications 6 & 8, caracterise en ce que, 
pour chaque objet, au moins une autre politique de controle d'acces, dite politique de 
controle d'acces a distance, est definie par un jeu d'au moins une condition d'acces h 
distance (cond. d'acc. & dist. 1, cond. d'acc. k dist. 2), chaque condition d'acces & 
distance s'appliquant, pour ledit objet, a un groupe d'au moins une commande distante 
appartenant a la ou aux applications distantes utilisant ladite politique de contr61e d'acces 
a distance, 

et en ce que, pour chaque objet, seuls les indicateurs de politique de contrdle 
d'acces associes chacun a une des applications distantes peuvent indiquer ladite politique 
de controle d'acces a distance. 

1 0 . Systeme selon les revendications 8 et 9, caracterise en ce que, pour chaque objet, 
chaque condition d'acces a distance peut prendre les memes valeurs ("JAMAIS", 
"PRIVE", "PARTAGE") que lesdites conditions d'acces alternatives particuiieres. 

1 1 . Systeme selon Tune quelconque des revendications 7 a 10, lesdits moyens de 
memorisation de donnees de chaque carte utilisateur possedant une structure hierarchique 
a au moins trois niveaux et comprenant au moins les trois types de fichiers suivants : 

fichier maitre (MF), ou repertoire principal ; 

fichier specialise (DF), ou repertoire secondaire place sous ledit fichier 
maitre ; 

fichier elementaire (EF), place sous un desdits fichiers specialises, dit 
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fichier specialise parent, ou directement sous ledit fichier maitre, dit fichier 
maitre parent, 

caracterise en ce que lesdits moyens de memorisation de donnees de chaque carte 
utilisateur comprennent au moins un fichier elementaire systeme (EF SMS System), 
chaque fichier elementaire systeme etant H6 a une application distante autorisee et stockant 
une premiere information de localisation de la reference secrete et du mode 
d' authentication de message associes a cette application distante autorisee & laquelle il est 
lie, 

et en ce que chaque message ameliore comprend une seconde information ("DF 
entree") de localisation du fichier elementaire systeme auquel est liee ^application distante 
autorisee a laquelle appartiennent les commandes contenues dans ledit message am<§lior6, 

lesdits moyens d'authentification lisant dans chaque message ameliore discrimin6 
ladite seconde information de localisation du fichier elementaire systeme, de fagon & lire 
dans le fichier elementaire systeme ladite premiere information de localisation de la 
reference secrete et du mode d'authentification de message k utiliser pour authentifier ledit 
message ameliore discrimine. 

12. Systeme selon la revendication 11, caracterise en ce que chaque fichier 
elementaire systeme (EF SMS System) est place sous un fichier specialise (DF) ou 
directement sous le fichier maitre (MF), un fichier 61ementaire systeme au maximum 
pouvant etre place sous chaque fichier specialise, et un fichier elementaire systeme au 
maximum pouvant etre place directement sous le fichier maitre. 

13. Systeme selon la revendication 12, caracterise en ce que si aucun fichier 
elementaire systeme (EF SMS System) n'existe sous un fichier specialise (DF), ni sous le 
fichier maitre (MF), alors chaque fichier elementaire (EF) place sous ledit fichier 
specialise, quelle que soit la valeur des conditions d'acces a distance associ&s h ce fichier 
elementaire, n'est accessible par aucune commande distante, 

et en ce que si aucun fichier elementaire systeme (EF SMS System) n'existe 
directement sous le fichier maitre (MF), alors chaque fichier elementaire (EF) plac£ 
directement sous le fichier maitre, quelle que soit la valeur des conditions d'accds h. 
distance associees a ce fichier elementaire, n'est accessible par aucune commande 
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distante. 

1 4 . Systeme selon Tune quelconque des re vesications 11 & 13, caracterise en ce que 
ladite seconde information de localisation du fichier elementaire systeme (EF SMS 
System) est un identificateur ("DF entree") d'un fichier specialist (DF) ou d'un fichier 
maitre (MF) auquel se rapporte ledit fichier elementaire systeme selon une strategie de 
recherche predeterminee dans les moyens de memorisation de donnees. 

15. Systeme selon la revendication 14, caracterise en ce que ladite strategic de 
recherche predeterminee dans les moyens de memorisation de donnees est un mScanisme 
de recherche en amont (du type "backtracking"), consistant a rechercher si un fichier 
elementaire systeme (EF SMS System) existe sous le fichier specialise (DF) ou le fichier 
maitre (MF) indique par ledit identificateur, et, dans la negative et si 1* identificateur 
n' indique pas le fichier maitre, a rechercher si un fichier elementaire systeme existe 
directement sous le fichier maitre. 

1 6 . Systeme selon la revendication 10 et Tune quelconque des revendications 1 1 & 15, 
caracterise en ce que, dans le cas d'un fichier dont une des conditions d'acces & distance 
possede la valeur "acces prive", ladite unique application distante predetermine dont les 
commandes distantes peuvent acceder audit fichier est, sous reserve que son 
authentification soit reussie, F application distante autorisee parente dudit fichier, c'est-k- 
dire 1' application distante autorisee liee au meme fichier elementaire systeme (EF SMS 
System) que celui auquel se rapporte le fichier specialise (DF) parent ou le fichier maitre 
(MF) parent dudit fichier, 

et en ce que, dans le cas d'un fichier dont la condition d'acces h distance poss&de 
la valeur "acces partage", lesdites au moins deux applications distantes predetermines 
dont les commandes distantes peuvent acceder audit fichier sont, sous reserve que leur 
authentification soit reussie, toutes les applications distantes autorisees, quel que soit le 
fichier elementaire systeme (EF SMS System) auquel chacune d'elles est liee. 
1 7 . Systeme selon Tune quelconque des revendications 1 1 & 16, caracteris6 en ce que 
chaque fichier elementaire systeme (EF SMS System) comprend un ensemble distinct 
d'indicateurs de politique de controle d'acces, chaque indicateur de politique de controle 
d'acces indiquant, pour une desdites applications, quelle politique de controle d'acces, k 
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savoir premiere ou autre, utiliser avec cette application, 

ledit ensemble distinct d'indicateurs de politique de controle d'acces &ant assocte 
a tous les fichiers (EF, DF, MF) dont le fichier specialise (DF) parent ou le fichier maitre 
(MF) parent se rapporte audit fichier elementaire systeme (EF SMS System). 
1 8 . Carte utilisateur a microprocesseur (module SIM) du type destinS & coop£rer avec 
un terminal (ME ; 4) de fagon a constituer un equipement terminal (MS ; 1) d'un systeme 
de communication selon Tune quelconque des revendications 1 & 17, 

caracterise en ce que chaque objet des moyens de memorisation de donn6es de 
ladite carte utilisateur est egalement associe a au moins une autre politique de contrdle 
d'acces (PCA a distance n°l, PCA k distance n°2), chaque autre politique de controle 
d'acces etant definie par un jeu d'au moins une condition d'acc&s alternative (cond. d'acc. 
a dist. 1, cond. d'acc. k dist. 2), chaque condition d'acces alternative d'une autre 
politique de controle d'acces donnee s'appliquant, pour ledit objet, & un groupe d'au 
moins une commande appartenant a la ou aux applications utilisant ladite autre politique 
de controle d'acces donnee, 

et en ce que chaque objet est egalement associe h une pluralite d'indicateurs de 
politique de controle d'acces, chaque indicateur de politique de controle d'acces 
indiquant, pour une desdites applications, quelle politique de controle d'accfes, a savoir 
premiere ou autre, utiliser avec cette application, lesdits indicateurs de politique de 
controle d'acces etant stockes dans les moyens (8) de memorisation de donn6es de ladite 
carte utilisateur. 

19. Procede de gestion securisee et independante d'au moins deux applications 
distantes, par une carte utilisateur a microprocesseur (module SIM ; 5) du type destinS k 
cooperer avec un terminal (ME ; 4) de fagon a constituer un equipement terminal (MS ; 1) 
d'un systeme de communication selon 1'une quelconque des revendications 6 h 17, 

caracterise en ce que, pour chaque message ameliore regu, ladite carte utilisateur 
(module SIM) effectue notamment l'etape suivante (511) : pour chaque commande 
distante contenue dans ledit message ameliore, verification de 1' accessibility de cette 
commande distante a l'objet concerne, ladite verification de 1'accessibilte s'appuyant sur 
une politique de controle d'acces, premiere ou a distance, h utiliser pour ledit objet 
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concerne avec ladite application distante courante. 

20. Procede selon la revendication 19, caracterise en ce que, pour chaque message 
ameliore re§u, ladite carte utilisateur (module SIM) effectue egalement une <Stape pnklable 
(54) de discrimination dudit message ameliore, de fa?on k ne poursuivre son traitement 
que si V application distante, dite application distante courante, a laquelle appartiennent les 
commandes distantes qu'il contient est une application distante autorisee. 

2 1 . Procede selon Tune quelconque des revendication 19 et 20, caracterise en ce que, 
pour chaque message ameliore re?u, ladite carte utilisateur (module SIM) effectue 
egalement une etape prealable (57) d* authentication dudit message am61ior<J, en utilisant 
une reference secrete et un mode d'authentification de message associ6s k ladite 
application distante courante. 

2 2 • Procede selon Tune quelconque des revendications 19 a 21 , caract&is6 en ce que 
au moins certains des elements appartenant au groupe suivant peuvent etre crees et/ou mis 
a jour et/ou supprimes par F intermediate de commandes distantes : 

les valeurs des conditions d'acces, notamment premieres ou k distance, 
des politiques de controle d'acces associ^es h chaque objet ; 
Tindicateur de politique de controle d'acces, notamment premiere ou k 
distance, a utiliser avec chaque application pour chaque objet ; 
la liste des applications distantes autoris£es ; 

pour chacune des applications distantes autoris6es de ladite liste, la 

reference secrete et le mode d'authentification de message assoctes ; 

le ou lesdits fichiers elementaires syst&mes (EF SMS System) Ms chacun 

a une application distante autorisee distincte ; 

les fichiers elementaires (EF), specialise (DF) et maitre (MF). 
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